iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 7
0

風險評鑑方法論

  • IDO 31010 說明各種風險評鑑方法
  • ISO 27005 -> ISMS風險評估
  • 行政院資通系統風險評鑑參考指引 (V4.0) 31010 27005的綜合體
  • NIST 800-30 -> 用於電腦系統與IT安全議題之風險評鑑
  • FRAP 用於分析一個系統 應用程式或業務流程
  • OCTAVE 位高權重的人才知道組織真正的風險
  • AS/NZS 4360 可用於分析財務 資產 人員安全與商業決策風險
  • FMEA 常用在產品開發,哪裡會出錯? 怎麼處理?
  • Fault tree analysis 造成失效的可能性關聯
  • CRAMM 自動化的工具與風險應對措施庫可選擇

ISO 27005 (2005年)

主要對象是資訊資產,新版已經不太看這個了

ISO 27001:2013新版轉版差異

https://www.slideshare.net/YangFoung/iso-270012013-42873661

ISO 27001 風險管理要求

  • 處理風險和機會的活動
    • 當規劃資訊安全管理系統,組織確認需要處理的風險及機會
      • 確保資訊安全管理系統能夠達成預期的結果
      • 預防握減少預期外的效應
      • 達到持續改善

風險評鑑準則 = 選用的風險評鑑方法論

識別風險所有人:評估完風險後,要交給風險所有人確認,他說可以接受就好,通常會是單位的資安長

政府機關(構)資通安全責任等級分級作業規定

https://nicst.ey.gov.tw/File/1A9F9E386B0FEF5E?A=C

流程範例 (以資訊資產為標的 ISO 27001:2005版的流程)

每一項資訊資產,都要進行以下流程評估

  1. 資訊資產識別

  2. 資訊資產類別

  3. 鑑別資訊資產價值
    鑑別重不重要,用機密性 完整性 可用性來分級

高3 中2 普1
這個目的只是要識別 "比較"重要或是比較不重要,差幾分不是重點

  1. 資訊資產評估
    資產價值=機密性+完整性+可用性

  2. 威脅與脆弱性識別
    威脅 脆弱性

  3. 現有控制措施識別

  4. 評鑑事故可能性
    威脅等級 脆弱性等級

  5. 估計風險等級
    資訊資產價值 = 機密性鑑價+完整性鑑價+可用性鑑價
    資訊資產風險值 = 資訊資產價值 * 威脅等級 * 脆弱性等級

  6. 風險評估
    訂定風險等級 可接受風險等級

    • 高 55~81
    • 中 29~54
    • 普 3~28
  7. 風險評鑑複合

  8. 風險處力

  9. 風險追蹤

思考一下

  • 資訊資產需要蒐集那些資料
    全部都得蒐集
  • 上述的管理流程有何優缺點?
    每一項都要盤點,很花時間
  • 如何改善?
    把資訊資產群組化

兩種方法論

定量風險評鑑方法論 定量是會很明確有損失的金額 (沒有純粹的定量方法論)
定性風險評鑑方法論 行政院用的是這種的

以機密性價值舉例
普 1 後果輕微 | 損失50萬以下
中 2 後果嚴重,且會影響業務 | 損失50萬~100萬
高 3 後果很嚴重,且會影響業務,或信譽受損 | 100萬以上

CMMI 成熟度

https://zh.wikipedia.org/wiki/%E8%83%BD%E5%8A%9B%E6%88%90%E7%86%9F%E5%BA%A6%E6%A8%A1%E5%9E%8B%E9%9B%86%E6%88%90
希邁開發方面,1.3版 (pdf). CMMI-DEV (Version 1.3, November 2010). 卡內基·梅隆大學軟體工程研究所. 2010 [2011-02-16].
希邁採購方面,1.3版 (pdf). CMMI-ACQ (Version 1.3, November 2010). 卡內基·梅隆大學軟體工程研究所. 2010 [2011-02-16].
希邁服務方面,1.3版 (pdf). CMMI-SVC (Version 1.3, November 2010). 卡內基·梅隆大學軟體工程研究所. 2010 [2011-02-16].

流程範例 (以資訊服務與資訊資產為標的 高階風險評鑑)

高階風險評鑑?是什麼

「行政院及所屬各機關資訊安全管理要點」第二章「通則」 第三點
參考 ISO/IEC 27005,提供高階、詳細兩種風險評鑑作法
https://download.nccst.nat.gov.tw/attachfilehandout/2010091002.pdf

  1. 輸入資訊服務
  2. 識別業務屬性
  • 行政類業務 (對內的都算行政 ex行政 秘書 會計 主計 人事 政風)
  • 業務類業務 (對外的都是業務 )
  1. 設定安全等級
    機密性
    完整性
    可用性
    法律遵循性
    一樣普中高,取其高的為準
    例如 這四個都是普,安全等級才可以是普

  2. 輸入MTD RTO RPO 資訊

  • RTO Recovery Time Objective 復原時間目標
    最低可營運水準,一般會小於MTD,約為MTD 2/3,例如 MTD是24小時,RTO大約16小時
  • RPO 資料復原點目標
    允許有多長時間的資料損毀
    ex一天備份一次,那就是損失一天
  • MTD Maximum Tolerable Downtime (對組織而言,非IT人員) 最長可接受的中斷時間

RPO和MTD的時間不要亂喊,做得到的時間才寫上去

  1. 資訊資產鑑別

  2. 資訊資產類別
    資訊紀錄 實體設備 電腦系統 人員 服務
    用機密性 完整性 可用性來分級

高3 中2 普1

安全等級為高和中者,再執行以下活動 (這個條件是人設定的)
高的沒話說,一定要做,中的可以交給單位主管來評估是否要做
行政院定的:詳細風險評鑑方法論(作業規範)

  1. 鑑別資訊資產價值

  2. 資訊價值評估
    資產價值=MAX(機密性,完整性,可用性)

資產價值為高者 再執行下列活動

  1. 威脅與脆弱性識別

  2. 現有控制措施識別

  3. 評鑑事故可能性

  4. 估計風險等級
    資訊資產風險值 = 資訊資產價值 * 威脅等級 * 脆弱性等級

  5. 風險評估 (訂定風險等級 可接受風險等級)

  6. 風險評鑑複核

  7. 風險處理

  8. 風險追蹤

思考一下

  • 上述流程的優點
    可以專注在較高的東西
  • 缺點
    等級中的可能會偷懶不做
  • 改善方式
    等級為中的,可以不要第一年改善,而是逐年改善
    or
    資產價值高 或 中 者都執行威脅與脆弱性識別

流程範例 參考ISO 31000和行政院流程 (以資訊服務或系統為標的)

資訊資產鑑價 威脅等等 在這裡都沒有

這個流程只探討風險情境 (明天說)

缺點:風險情境不好做,困難度遠比前兩個更難

資訊資產盤點的欄位有哪些

  • 名稱
    硬體的話,最好具備唯一性,故名稱加上型號、編號避免重複
  • 類別 (資訊紀錄 實體設備 電腦系統 人員 服務)
  • 管理人
  • 說明
  • 存放位置
  • 原廠名稱 (這三個是行政院擔心中國產品增列的)
  • 廠牌 (這三個是行政院擔心中國產品增列的)
  • 型號 (這三個是行政院擔心中國產品增列的)
  • 使用單位
  • 數量

資訊資產與組態項目

組態項目 (Configuration item CI)

需要管理之資訊資產,用以交付IT服務,可分為

    • 服務或系統
    • 支援服務或系統的硬體 軟體 文件或支援人員
    • 軟體模組或細微的硬體元件
      所有CI都是服務資產,但資訊資產不一定為CI
      CI應該接受變更管理之控制

組態欄位

  • 唯一之識別碼
  • CI類型
  • 名稱/描述
  • 版本
  • 位置
  • 供應日期
  • 授權詳細資訊 如授權到期日
  • 擁有者/保管人
  • 狀態
  • 供應者/來源
  • 相關文件負責人
  • 相關軟體負責人
  • 歷史資料 如事故 問題 變更資訊
  • 關係類型
  • 適用之服務水準協議(Service Level Agreement, SLA)

組態項目資料例子(硬體類)

  • 編號
  • 名稱
  • 存放位置
  • 機貴編號
  • 財產編號
  • 管理者
  • 廠商資訊
  • 廠牌
  • 型號
  • 序號
  • 硬體資訊
  • 作業系統
  • 版本資訊
  • 帳號權限
  • 密碼
  • 網路設定
  • 安全設定
  • 磁碟分割
  • 網路埠設定
  • 應用系統
  • 服務
  • 排成
  • 開機注意事項
  • 開機程序
  • 關機注意事項
  • 關機程序
  • 備份
  • 系統相關關聯性
  • 操作手冊 文件
  • 災難回復

資訊服務和資訊系統的差別

資訊服務比較大
資訊系統比較小
資訊服務通常會包含資訊系統

風險評鑑實作流程

資通系統(服務)清冊

填寫說明

模擬自己是公司資訊人員,負責機房,填寫這個表格
列出三個資訊系統或服務即可
ex ERP、Mail

業務屬性 安全等級先空著

如果不需要異動,就寫N/A 或 不適用

資通系統(服務)安全等級評估表

共同性系統

包含共用性與共通性系統

  • 共用性系統
    資通系統是由單一機關開發與資料管理的,所有的設備與資料都在單一機關,其餘機關僅涉及操作
    例如國稅系統

共用性系統"只有使用權,無法做任何的安全管控(硬體 軟體都在別人家),甚至連盤點都不用,但做清冊時還是盤點一下比較好

  • 共通性系統
    由單一機關開發與資料管理,軟體更新在上層,各機關保有硬體與資料儲存和操作
    例如監獄管理系統 檢察官系統 電子公文交換系統

共通性系統因為資料在自己家裡,所以需要做安全等級評估


上一篇
還是資訊資產盤點
下一篇
風險評鑑的安全等級該怎麼區分呢
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言